swatch2009款式,swatch 型号怎么看
作者:后端
资料来源:兰斯斯皮茨纳
主页:http://www.nsfocus.com/
日期:1999年12月14日
过滤器
日志具有不可替代的价值,但不幸的是,它们经常被忽略,因为系统管理员很难在时间不足的情况下查看大量日志。
信息。的标准日志功能不能自动过滤和检查日志记录,并提供系统管理员所需的信息。我将简要描述如何过滤和
获取你需要的信息,然后引入一个日志工具。
本文的第一部分将告诉你如何制定过滤计划和所需的信息,第二部分是日志过滤的实现。本文中介绍的日志工具
托德阿特金斯开发了斯沃琪。
开始
你应该先制定一个计划。制定日志计划有三个步骤:第一步是指定你需要了解的内容,并确保从系统日志中获取。
什么信息;第二步是确定哪些日志包含此信息;第三步,制作一个可以获取这些信息的触发器。
例如,假设您非常关心sendmail的安全性,并且特别想知道是否有人试图使用您的邮件服务器进行垃圾邮件转发。另外
您还想知道是否有人试图通过SMTP命令(如expn、vrfy)未经授权获取相关信息。这些是我们需要确保的第一步。
内容。
第二步是选择信息源,或者包含所有城市信息的日志文件。你可以通过系统日志配置文件/etc/syslog.conf找到你需要的。
在那里记录信息。例如,下面是电子邮件日志存储位置的配置:
homer # cat/etc/syslog . conf grep mail
mail.debug ifdef(`LOGHOST ,/var/log/syslog,@loghost)
最后一步是定义触发器,即指定要记录的日志信息。这里我们需要sendmail的两个触发器。
1.尝试使用邮件服务器作为邮件转发器的未授权IP地址。
2.尝试使用已关闭的命令(如expn)的用户的/或IP地址。
要确定trigger的定义是否正确,首先使用/usr/bin/tail-f命令模拟触发事件并监视日志文件
发件人(未经授权的IP地址尝试使用邮件服务器进行邮件转发),可以尝试使用邮件服务器从未经授权的IP地址进行邮件转发,
同时,使用/usr/bin/tail -f命令检查日志记录。
homer sendmail[6704]: OAA06704:
relay=foo@moo.com ruleset=check_rcpt,arg1=bsmith@domain.com
[206.54.252.1],拒绝=550 bsmith@domain.com.中继被拒绝
我们可以看到moo.com有人试图通过我们的邮件服务器转发邮件,这可能是垃圾邮件的迹象。即将发生
未经授权的邮件转发的日志触发器。请注意,该信息还包括IP地址和域名。
现在,测试第二个触发器(未经授权使用expn命令)。登录到SMTP端口并执行expn命令,同时传递
/usr/log/tail -f /var/log/syslog命令来查看日志记录。
10月2日20:28:37 homer sendmail[5453]:no queue:foo @ moo . com[206 . 54 . 252 . 1]:expn b Smith[拒绝]
我们可以看到有人试图在moo.com上查询用户名bsmith。当使用expn命令时,该触发器将被激活。请注意,在信息中
它还包含IP地址和域名。
我们概述了开发日志过滤的三个步骤。第一步是确定需要什么信息:未经授权使用邮件服务器进行邮件转发和
未经授权使用expn命令。然后确定包含此信息的日志:/var/log/syslog。最后,通过模拟事件来验证日志触发。
设备。现在是我们构建自动过滤器的时候了。
样品
Swatch(简单的监视器和文件管理器)是一个PERL程序,由Todd Atkins开发,用于实时监视日志。斯沃琪李
用指定的触发器监视日志记录。当日志记录满足触发条件时,swatch会以预定义的方式通知系统管理员。
在这个例子中,我们需要swatch在有人攻击sendmail时报警。
斯沃琪非常容易安装。这是一个PERL程序,不需要编译。Swatch有一个非常有用的安装脚本,所有的库文件,
手册页和PERL文件被复制到相应的目录中。安装完成后,只需创建一个配置文件,就可以运行程序了。样本下载
网站:ftp://ftp.stanford.edu/general/security-tools/swatch
配置文件swatchrc是swatch软件的重点。这个文本文件告诉swatch要监视哪些日志,要查找哪些触发器,
以及被触发时要执行的动作。当swatch发现它与swatchrc中定义的触发器正则表达式匹配时,它将在swatchrc中执行。
中定义的通知程序。Swatch通过使用/usr/bin/tail-f实时监控日志文件。
现在让我们为上面提到的sendmail日志创建一个swatchrc文件。目的是当有人试图攻击我们的邮件服务器时
Sendmail将通过电子邮件通知我们。swatchrc文件的内容格式如下。它包含由制表符分隔的四个字段,前两个
该字段是必需的,而最后两个字段是可选的。
第一个字段的格式是:
/模式/模式/
其中‘pattern’表示swatch将搜索和匹配的正则表达式,这是我们的触发器。
第二个字段的格式是:
行动,行动.
其中“action”是表达式匹配时要执行的操作。Swatch允许规范包括电子邮件、呼叫或任何指定的可执行文件。
第三个字段(可选)的格式是:
时:分:秒
HH是小时数,MM是分钟数,SS是秒钟数。这个时间间隔是设置样本忽略相同匹配表达式的最大时间。例如,如
如果您将时间间隔定义为5分钟,swatch将在此时间间隔内仅报告一次相同的匹配表达式,即使表达式可能已被匹配。
二十次。
第四个字段(如果使用第三个字段,这是必需的)是一个时间戳,格式为start:length。它定义了
通知消息中时间戳的位置和长度。
在这个sendmail实例中,我们将为上述两个触发器创建带有相应匹配表达式的swatchrc文件。我们希望只有
如果其中一个表达式匹配,系统将向abuse@ourcompany.com发送包含匹配记录的通知电子邮件。但是,也要避免。
避免被过多的警告信息淹没。例如,如果攻击者试图在一分钟内转发1000封电子邮件,则可能会生成大量通知消息。
因此,我们决定将时间间隔设置为5分钟。这样5分钟内不管匹配多少次同一个表情,都只会发送一封通知邮件。
一块。下面是我们最终创建的swatchrc文件的内容:
/中继被拒绝 expn/echo=normal,mail=abuse@ourcompany.net 5:00 0:16
第一个字段是“/中继被拒绝expn/”。如果Swatch发现与这些表达式中的任何一个匹配,它将发送一个警告。
信息。第一个表达式‘中继被拒绝’对应的是上面提到的第一个触发器,此时的日志会记录有人试图这么做。
未经授权的邮件转发。第二个表达式‘expn’对应第二个触发器,此时的日志会记录有人试图执行expn命令。这两个
请查看本文的第一部分,了解触发器的详细信息。
第二个字段是“echo=nominal,mail=abuse @ company.com”,
意味着包含匹配日志记录的电子邮件将被发送到abuse@ourcompany.com。
第三个和第四个字段(可选字段)的内容为‘5:00 0:16’,表示5分钟内不会重复出现相同的预警信息,并定义了时间。
标签的位置和长度。
现在我们已经正确配置了swatchrc文件,最后一步是启动样本过程。样本可以用许多参数启动,但是
通常使用以下格式启动它就足够了:
/usr/local/bin/swatch-c/var/log/syslogrc-t/var/log/syslog
-c参数用于指定配置文件,-t参数指定实时监视的日志文件,而使swatch在后台运行。启动后,生成样本。
子进程,因此swatch作为两个进程运行,当您停止swatch时,必须终止两个进程。现在,sendmail的日志将从
动态过滤。每当有人想使用您的sendmail系统时,您都会收到一封包含匹配日志记录的电子邮件。
摘要
日志是一个强大的工具,但是它的海量数据很容易让我们不知所措。如果我们没有足够的时间来检查数万亿的数据
有用的信息很可能会被忽略。自动日志过滤系统可以帮助我们解决这个问题。这些自动过滤系统将带我们
实时通知我们所需的信息。希望这篇文章能对你自定义自己的日志文件自动过滤器有所帮助。
原始来源(点击此处)